Plataforma
php
Componente
voovi-social-networking-script
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de inyección SQL en el script Voovi Social Networking Script, afectando a la versión 1.0. Esta falla permite a un atacante remoto inyectar código SQL malicioso a través del parámetro photo.php, comprometiendo la integridad y confidencialidad de los datos almacenados en la aplicación. La versión 1.0.1 corrige esta vulnerabilidad, y se recomienda su implementación inmediata.
La inyección SQL en Voovi Social Networking Script representa un riesgo crítico para la seguridad de la información. Un atacante exitoso podría explotar esta vulnerabilidad para extraer datos sensibles de la base de datos, incluyendo nombres de usuario, contraseñas, información personal y cualquier otro dato almacenado en la aplicación. Además, la inyección SQL podría permitir al atacante modificar o eliminar datos, comprometiendo la integridad de la aplicación y sus datos. Este tipo de vulnerabilidad es común en aplicaciones web que no validan correctamente las entradas del usuario, y puede tener consecuencias devastadoras si no se aborda adecuadamente.
La vulnerabilidad CVE-2023-6412 fue publicada el 30 de noviembre de 2023. No se ha reportado su inclusión en el KEV de CISA ni la confirmación de su explotación activa en campañas conocidas. Sin embargo, dada la severidad (CVSS 9.8) y la facilidad potencial de explotación, se recomienda tomar medidas preventivas de inmediato. La existencia de una vulnerabilidad de inyección SQL en un script de redes sociales implica un riesgo significativo para la privacidad de los usuarios.
Websites and applications utilizing the Voovi Social Networking Script version 1.0 and 1.0 are at significant risk. This includes small to medium-sized businesses, personal blogs, and any platform integrating this script for social networking functionality. Shared hosting environments are particularly vulnerable, as a compromised script on one site could potentially impact others on the same server.
• php: Examine access logs for requests to photo.php containing unusual characters or SQL keywords (e.g., UNION, SELECT, DROP).
• php: Search for modifications to the photo.php file that might indicate an attacker attempting to inject malicious code.
• generic web: Use curl to test the photo.php endpoint with various SQL injection payloads to identify exploitable parameters.
curl 'http://example.com/voovi/photo.php?id=1 UNION SELECT 1,2,3 -- ' disclosure
Estado del Exploit
EPSS
0.20% (42% percentil)
Vector CVSS
La mitigación principal para CVE-2023-6412 es actualizar Voovi Social Networking Script a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas del usuario en el archivo photo.php. Además, se puede considerar el uso de un Web Application Firewall (WAF) para detectar y bloquear intentos de inyección SQL. Verifique después de la actualización que la consulta a photo.php no sea vulnerable a inyección SQL mediante pruebas de penetración.
Actualizar a una versión parcheada o descontinuar el uso del script. Debido a la vulnerabilidad de inyección SQL (SQL Injection), es crucial aplicar las actualizaciones de seguridad proporcionadas por el proveedor o migrar a una solución más segura. En caso de no haber actualizaciones, se recomienda dejar de utilizar el software.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-6412 is a critical SQL injection vulnerability affecting Voovi Social Networking Script versions 1.0 and 1.0, allowing attackers to inject malicious SQL queries via the photo.php parameter.
If you are using Voovi Social Networking Script version 1.0 or 1.0, you are potentially affected and should upgrade immediately.
Upgrade to version 1.0.1 of Voovi Social Networking Script. As a temporary workaround, implement a WAF to filter malicious SQL queries.
While no confirmed active exploitation campaigns are currently known, the CRITICAL severity and ease of exploitation suggest a high probability of exploitation if unpatched.
Refer to the vendor's website or security advisories for the latest information and updates regarding CVE-2023-6412.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.